【开源项目】使用Sa-Token框架完成API参数签名

最新推荐文章于 2024-03-15 18:19:50 发布
最新推荐文章于 2024-03-15 18:19:50 发布
阅读量2.1k 收藏 1
点赞数 1
文章标签: 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42985872/article/details/131453413
版权

介绍

使用 Sa-Token 内置的 sign 模块,方便的完成 API 签名创建、校验等步骤:

  • 不限制请求的参数数量,方便组织业务需求代码。
  • 自动补全 nonce、timestamp 参数,省时省力。
  • 自动构建签名,并序列化参数为字符串。
  • 一句代码完成 nonce、timestamp、sign 的校验,防伪造请求调用、防参数篡改、防重放攻击。

Java实现

引入依赖

        <dependency>
            <groupId>cn.dev33</groupId>
            <artifactId>sa-token-spring-boot-starter</artifactId>
            <version>1.35.0.RC</version>
        </dependency>

配置秘钥

sa-token: 
    sign:
        # API 接口签名秘钥 (随便乱摁几个字母即可)
        secret-key: kQwIOrYvnXmSDkwEiFngrKidMcdrgKor

请求发起端构建签名

String url = "http://b.com/api/addMoney";

// 请求参数
Map<String, Object> paramMap = new LinkedHashMap<>();
paramMap.put("userId", 10001);
paramMap.put("money", 1000);
// 更多参数,不限制数量...

// 补全 timestamp、nonce、sign 参数,并序列化为 kv 字符串
String paramStr = SaSignUtil.addSignParamsAndJoin(paramMap);

// 将参数字符串拼接在请求地址后面
url += "?" + paramStr;

// 发送请求
String res = HttpUtil.request(url);

// 根据返回值做后续处理
System.out.println("server 端返回信息:" + res);

请求接受端校验签名

@RequestMapping("addMoney")
public SaResult addMoney(long userId, long money) {

    // 1、校验请求中的签名
    SaSignUtil.checkRequest(SaHolder.getRequest());
    
    // 2、校验通过,处理业务
    System.out.println("userId=" + userId);
    System.out.println("money=" + money);
    
    // 3、返回
    return SaResult.ok();
}

原理分析

构建签名

SaSignUtil#addSignParamsAndJoin

    public static String addSignParamsAndJoin(Map<String, Object> paramsMap) {
        return SaManager.getSaSignTemplate().addSignParamsAndJoin(paramsMap);
    }

SaSignTemplate#addSignParamsAndJoin,新增签名参数

public String addSignParamsAndJoin(Map<String, Object> paramsMap) {
    paramsMap = this.addSignParams(paramsMap);
    return this.joinParams(paramsMap);
}

SaSignTemplate#addSignParams,新增了timestampnonce随机数和sign

    public Map<String, Object> addSignParams(Map<String, Object> paramsMap) {
        paramsMap.put(timestamp, String.valueOf(System.currentTimeMillis()));
        paramsMap.put(nonce, SaFoxUtil.getRandomString(32));
        paramsMap.put(sign, this.createSign(paramsMap));
        return paramsMap;
    }

SaSignTemplate#createSign,创建签名。按照Map中的自然排序进行拼接

    public String createSign(Map<String, ?> paramsMap) {
        String secretKey = this.getSecretKey();
        SaSignException.throwByNull(secretKey, "参与参数签名的秘钥不可为空", 12201);
        if (((Map)paramsMap).containsKey(sign)) {
            paramsMap = new TreeMap((Map)paramsMap);
            ((Map)paramsMap).remove(sign);
        }

        String paramsStr = this.joinParamsDictSort((Map)paramsMap);
        String fullStr = paramsStr + "&" + key + "=" + secretKey;
        return this.abstractStr(fullStr);
    }

    public String joinParamsDictSort(Map<String, ?> paramsMap) {
        if (!(paramsMap instanceof TreeMap)) {
            paramsMap = new TreeMap((Map)paramsMap);
        }

        return this.joinParams((Map)paramsMap);
    }

SaSignTemplate#abstractStr,加密方式是md5

    public String abstractStr(String fullStr) {
        return SaSecureUtil.md5(fullStr);
    }

验证签名

SaSignUtil#checkRequest,校验请求

public static void checkRequest(SaRequest request) {
    SaManager.getSaSignTemplate().checkRequest(request);
}

SaSignTemplate#checkRequest,校验请求中的参数

    public void checkRequest(SaRequest request) {
        this.checkParamMap(request.getParamMap());
    }

SaSignTemplate#checkParamMap,校验请求中的参数timestampValuenonceValuesignValue

public void checkParamMap(Map<String, String> paramMap) {
    String timestampValue = (String)paramMap.get(timestamp);
    String nonceValue = (String)paramMap.get(nonce);
    String signValue = (String)paramMap.get(sign);
    this.checkTimestamp(Long.parseLong(timestampValue));
    if (this.getSignConfigOrGlobal().getIsCheckNonce()) {
        this.checkNonce(nonceValue);
    }

    this.checkSign(paramMap, signValue);
}

SaSignTemplate#checkTimestamp,判断在一定范围内

    public void checkTimestamp(long timestamp) {
        if (!this.isValidTimestamp(timestamp)) {
            throw (new SaSignException("timestamp 超出允许的范围:" + timestamp)).setCode(12203);
        }
    }

    public boolean isValidTimestamp(long timestamp) {
        long allowDisparity = this.getSignConfigOrGlobal().getTimestampDisparity();
        long disparity = Math.abs(System.currentTimeMillis() - timestamp);
        return allowDisparity == -1L || disparity <= allowDisparity;
    }

SaSignTemplate#checkNonce,校验随机数

    public void checkNonce(String nonce) {
        if (SaFoxUtil.isEmpty(nonce)) {
            throw new SaSignException("nonce 为空,无效");
        } else {
            String key = this.splicingNonceSaveKey(nonce);
            if (SaManager.getSaTokenDao().get(key) != null) {
                throw new SaSignException("此 nonce 已被使用过,不可重复使用:" + nonce);
            } else {
                SaManager.getSaTokenDao().set(key, nonce, this.getSignConfigOrGlobal().getSaveNonceExpire() * 2L + 2L);
            }
        }
    }

SaSignTemplate#checkSign,根据请求中的参数数据创建签名,判断和原有签名是否相同。

    public void checkSign(Map<String, ?> paramsMap, String sign) {
        if (!this.isValidSign(paramsMap, sign)) {
            throw (new SaSignException("无效签名:" + sign)).setCode(12202);
        }
    }

    public boolean isValidSign(Map<String, ?> paramsMap, String sign) {
        String theSign = this.createSign(paramsMap);
        return theSign.equals(sign);
    }

SaToken存储

SaTokenDao是存储接口。

默认实现是用的是SaTokenDaoDefaultImplSaTokenDaoDefaultImpl存储数据,主要是通过ConcurrentHashMap存放在本地内存中。

public class SaTokenDaoDefaultImpl implements SaTokenDao {
	

	/**
	 * 数据集合 
	 */
	public Map<String, Object> dataMap = new ConcurrentHashMap<String, Object>();

	/**
	 * 过期时间集合 (单位: 毫秒) , 记录所有key的到期时间 [注意不是剩余存活时间] 
	 */
	public Map<String, Long> expireMap = new ConcurrentHashMap<String, Long>();
	
	/**
	 * 构造函数
	 */
	public SaTokenDaoDefaultImpl() {
		initRefreshThread();
	}
	
	
	// ------------------------ String 读写操作 
	
	@Override
	public String get(String key) {
		clearKeyByTimeout(key);
		return (String)dataMap.get(key);
	}

	@Override
	public void set(String key, String value, long timeout) {
		if(timeout == 0 || timeout <= SaTokenDao.NOT_VALUE_EXPIRE)  {
			return;
		}
		dataMap.put(key, value);
		expireMap.put(key, (timeout == SaTokenDao.NEVER_EXPIRE) ? (SaTokenDao.NEVER_EXPIRE) : (System.currentTimeMillis() + timeout * 1000));
	}
}

SaTokenDaoDefaultImpl#initRefreshThread,对过期数据要定时清除

	/**
	 * 初始化定时任务 
	 */
	public void initRefreshThread() {

		// 如果配置了<=0的值,则不启动定时清理
		if(SaManager.getConfig().getDataRefreshPeriod() <= 0) {
			return;
		}
		// 启动定时刷新
		this.refreshFlag = true;
		this.refreshThread = new Thread(() -> {
			for (;;) {
				try {
					try {
						// 如果已经被标记为结束
						if(refreshFlag == false) {
							return;
						}
						// 执行清理
						refreshDataMap(); 
					} catch (Exception e) {
						e.printStackTrace();
					}
					// 休眠N秒 
					int dataRefreshPeriod = SaManager.getConfig().getDataRefreshPeriod();
					if(dataRefreshPeriod <= 0) {
						dataRefreshPeriod = 1;
					}
					Thread.sleep(dataRefreshPeriod * 1000);
				} catch (Exception e) {
					e.printStackTrace();
				}
			}
		});
		this.refreshThread.start();
	}


	/**
	 * 清理所有已经过期的key 
	 */
	public void refreshDataMap() {
		Iterator<String> keys = expireMap.keySet().iterator();
		while (keys.hasNext()) {
			clearKeyByTimeout(keys.next());
		}
	}

如果仅仅存放在本地内存中,涉及到多个项目,可能数据无法共享。

引入仓库sa-token-dao-redis-jackson

        <dependency>
            <groupId>cn.dev33</groupId>
            <artifactId>sa-token-dao-redis-jackson</artifactId>
            <version>1.33.0</version>
        </dependency>

SaTokenDaoRedisJackson使用Redis作为存储数据的地方。

@Component
public class SaTokenDaoRedisJackson implements SaTokenDao {
    public static final String DATE_TIME_PATTERN = "yyyy-MM-dd HH:mm:ss";
    public static final String DATE_PATTERN = "yyyy-MM-dd";
    public static final String TIME_PATTERN = "HH:mm:ss";
    public static final DateTimeFormatter DATE_TIME_FORMATTER = DateTimeFormatter.ofPattern("yyyy-MM-dd HH:mm:ss");
    public static final DateTimeFormatter DATE_FORMATTER = DateTimeFormatter.ofPattern("yyyy-MM-dd");
    public static final DateTimeFormatter TIME_FORMATTER = DateTimeFormatter.ofPattern("HH:mm:ss");
    public ObjectMapper objectMapper;
    public StringRedisTemplate stringRedisTemplate;
    public RedisTemplate<String, Object> objectRedisTemplate;
    public boolean isInit;

    public SaTokenDaoRedisJackson() {
    }

    @Autowired
    public void init(RedisConnectionFactory connectionFactory) {
        if (!this.isInit) {
            StringRedisSerializer keySerializer = new StringRedisSerializer();
            GenericJackson2JsonRedisSerializer valueSerializer = new GenericJackson2JsonRedisSerializer();

            try {
                Field field = GenericJackson2JsonRedisSerializer.class.getDeclaredField("mapper");
                field.setAccessible(true);
                ObjectMapper objectMapper = (ObjectMapper)field.get(valueSerializer);
                this.objectMapper = objectMapper;
                this.objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
                JavaTimeModule timeModule = new JavaTimeModule();
                timeModule.addSerializer(new LocalDateTimeSerializer(DATE_TIME_FORMATTER));
                timeModule.addDeserializer(LocalDateTime.class, new LocalDateTimeDeserializer(DATE_TIME_FORMATTER));
                timeModule.addSerializer(new LocalDateSerializer(DATE_FORMATTER));
                timeModule.addDeserializer(LocalDate.class, new LocalDateDeserializer(DATE_FORMATTER));
                timeModule.addSerializer(new LocalTimeSerializer(TIME_FORMATTER));
                timeModule.addDeserializer(LocalTime.class, new LocalTimeDeserializer(TIME_FORMATTER));
                this.objectMapper.registerModule(timeModule);
                SaStrategy.me.createSession = (sessionId) -> {
                    return new SaSessionForJacksonCustomized(sessionId);
                };
            } catch (Exception var7) {
                System.err.println(var7.getMessage());
            }

            StringRedisTemplate stringTemplate = new StringRedisTemplate();
            stringTemplate.setConnectionFactory(connectionFactory);
            stringTemplate.afterPropertiesSet();
            RedisTemplate<String, Object> template = new RedisTemplate();
            template.setConnectionFactory(connectionFactory);
            template.setKeySerializer(keySerializer);
            template.setHashKeySerializer(keySerializer);
            template.setValueSerializer(valueSerializer);
            template.setHashValueSerializer(valueSerializer);
            template.afterPropertiesSet();
            this.stringRedisTemplate = stringTemplate;
            this.objectRedisTemplate = template;
            this.isInit = true;
        }
    }

    public String get(String key) {
        return (String)this.stringRedisTemplate.opsForValue().get(key);
    }

    public void set(String key, String value, long timeout) {
        if (timeout != 0L && timeout > -2L) {
            if (timeout == -1L) {
                this.stringRedisTemplate.opsForValue().set(key, value);
            } else {
                this.stringRedisTemplate.opsForValue().set(key, value, timeout, TimeUnit.SECONDS);
            }

        }
    }
}

获取和更新SaTokenDao

SaBeanInject#setSaTokenDaoSaBeanInject是自动配置的。当系统中存在SaTokenDao的Bean实例,则设置SaTokenDao实例。

@Autowired(
    required = false
)
public void setSaTokenDao(SaTokenDao saTokenDao) {
    SaManager.setSaTokenDao(saTokenDao);
}

SaManager#setSaTokenDao,设置SaTokenDao实例

	public static void setSaTokenDao(SaTokenDao saTokenDao) {
		setSaTokenDaoMethod(saTokenDao);
		SaTokenEventCenter.doRegisterComponent("SaTokenDao", saTokenDao);
	}
	
	private static void setSaTokenDaoMethod(SaTokenDao saTokenDao) {
		if((SaManager.saTokenDao instanceof SaTokenDaoDefaultImpl)) {
			((SaTokenDaoDefaultImpl)SaManager.saTokenDao).endRefreshThread();
		}
		SaManager.saTokenDao = saTokenDao;
	}

SaManager#getSaTokenDao,如果saTokenDao没有设置,则获取默认的实现SaTokenDaoDefaultImpl

	public static SaTokenDao getSaTokenDao() {
		if (saTokenDao == null) {
			synchronized (SaManager.class) {
				if (saTokenDao == null) {
					setSaTokenDaoMethod(new SaTokenDaoDefaultImpl());
				}
			}
		}
		return saTokenDao;
	}

在这里插入图片描述

秋装什么
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sa-token深入
cxl0209的博客
03-13 1242
1.Sa-Token-SSO 单点登录模块 什么是单点登录?解决什么问题? 举个场景,假设我们的系统被切割为N个部分:商城、论坛、直播、社交…… 如果用户每访问一个模块都要登录一次,那么用户将会疯掉, 为了优化用户体验,我们急需一套机制将这N个系统的认证授权互通共享,让用户在一个系统登录之后,便可以畅通无阻的访问其它所有系统。 单点登录——就是为了解决这个问题而生! 简而言之,单点登录可以做到: 在多个互相信任的系统中,用户只需登录一次,就可以访问所有系统。 架构选型 Sa-Token-SSO 由简入难划分
Sa-Token】SpringBoot 整合 Sa-Token 快速实现 API 接口签名安全校验
sco5282的博客
07-14 2845
/ 参加完活动后,发送余额 Long userId = 1L;// 计算 sign String sign = md5("money=" + money + "&userId=" + userId + "&key=" + secretKey);注意:此处计算签名时,需要将所有参数按照字典顺序依次排列(key除外,挂在最后面)
Redis默认序列化方式乱码原因及解决办法
superbeyone
12-06 374
【代码】Redis默认序列化方式乱码原因及解决办法。
做一个开源的小程序登录模块组件(token
weixin_34297704的博客
11-20 142
先了解下SSO 对于单点登陆浅显一点的说就是两种,一种web端的基于Cookie、另一种是跨端的基于Token,一般想要做的都优先做Token吧,个人建议,因为后期扩展也方便哦。 小程序也是呢,做成token的形式是较好的。 流程图 PS:图中4的文字打错了~ 1、启动服务 2、小程序初次加载app.js校验token使用code去换取...
Sa-Token简单使用
小郑要做干饭人的博客
12-23 4406
再见 Shiro!权限认证我选择 Sa-Token:简单、优雅!
JWTROOT开源组件的应用 一个简单的token生成解析实现
weixin_47384104的博客
03-31 101
JWTROOT开源组件的应用 一个简单的token生成解析实现
Java + sa-token统一身份认证开发笔记
最新发布
gdgztt的专栏
03-15 795
sa-token,统一身份认证的实现,直接用的官网的demo,稍加改动,因为要前后端分离,加了一个H5Controller,官网也有详细介绍,这一部分不难,照着做就行了。因为要用到跨redis,跨域,所以要用到他们的client3模式。上面是demo,整合到自己的业务服务端。提供一个api获取登录后的相关信息。将自己的token一并返回给前端。整合到自己的业务客户端。修改路由配置,非常关键。
Java使用Sa-Token框架完成踢人下线功能.rar
07-10
在这个场景中,Sa-Token框架提供了一个优雅且高效的解决方案。Sa-Token是一个轻量级的Java权限认证与会话管理框架,它简化了用户登录、权限验证以及会话管理等过程。 首先,让我们深入了解Sa-Token框架Sa-Token的...
sa-token封装了一下
03-15
sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着有人或团队对sa-token进行了二次开发...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架Sa-Token框架。 jdk使用1.8 mysql 8.0
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
开源项目-marksalpeter-token.zip
09-03
首先,你需要将`token-master`目录中的代码导入到你的Go项目中,可以通过`go get`命令或者直接将源码复制到你的项目结构中。接着,可以按照以下步骤使用库: ```go import "github.com/marksalpeter/token" //...
加签/验签工具类SignUtil
kylin
07-01 1809
import java.beans.BeanInfo; import java.beans.Introspector; import java.beans.PropertyDescriptor; import java.lang.reflect.Method; import java.util.HashMap; import java.util.Map; import java.util.TreeMap; import org.apache.commons.codec.digest.DigestUtils
对外接口验证sign工具
咕噜咕噜wy的博客
05-05 1697
public class SignUtils { /** * 对外接口验证 * @param app_id * @param my_app_id * @param my_app_secret * @param app_secret * @param timestamp * @param sign * @return */ public boolean sign(String app_id,Stri.
spring boot 使用 sa-token
weixin_46209352的博客
06-22 1572
q
Sa-Token获取当前所有可用Token
ControlDemo的博客
02-15 3033
Sa-Token获取当前所有可用Token
Sa-Token】6、Sa-Token集成Redis
热门推荐
Asurplus
08-01 20万+
Sa-Token 支持 Redis、Memcached 等专业的缓存中间件中, 做到重启数据不丢失,而且保证分布式环境下多节点的会话一致性 一、引入Maven依赖 <!-- springboot集成redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artif
sa-token使用
07-28
sa-token 是一个基于 Spring Boot 框架的轻量级权限认证与会话管理框架。它提供了一套简单易用的 API,用于实现用户身份认证、权限控制和会话管理。 使用 sa-token 需要在 Spring Boot 项目中添加对应的依赖,具体方式可以参考官方文档。一般来说,你需要在 pom.xml 文件中添加如下依赖: ```xml <dependency> ***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值